rule2

Что должен знать персонал о защите данных? Часть 2

Любая компания хочет обезопасить данные. Однако многие владельцы бизнеса забывают о том, что наибольшую угрозу для информации представляет «человеческий фактор» — работники. Чтобы минимизировать риски утечки, достаточно внедрить системы контроля персонала и на регулярной основе вести образовательную работу, которая позволит сотрудникам осознать всю полноту и степень ответственности за сохранность информационных активов. И важно не просто «поговорить и разойтись», а закрепить ключевые моменты на бумаге, под роспись.

В прошлом материале речь шла об основных нюансах использования офисной техники и программного обеспечения. Сегодня мы продолжим эту тему.

Сложные пароли

Злоумышленники могут спасть спокойно, пока самое популярное сочетание логин-пароль – «admin/12345». Как только работники компании получают возможность самостоятельно выбирать себе коды доступа, система защиты моментально оказывается под угрозой. Ведь, выдумать и запомнить комбинацию из 16 символов в разных регистрах способен далеко не каждый.

Даже если в дело вступает служба безопасности, раздающая сложные пароли, от обычной человеческой безалаберности не уйти: листочки с кодами приклеиваются прямо на монитор и любой желающий может тут же войти в систему с использованием чужого профиля.

Снизить риски поможет ряд правил, внедренных в компании:

  • Пароли должны содержать 8 символов и более.
  • Работники не должны передавать коды доступа своим коллегам без разрешения руководства.
  • Пароли необходимо менять раз в квартал или чаще.
  • Бумажки с кодами категорически нельзя оставлять в доступных для обозрения местах.

Фишинг

На сегодняшний день большинство атак начинается с фишинга. Опасность может таиться в письмах, сообщениях в мессенджерах или прикрепленных файлах. Чтобы минимизировать риски, сотрудникам необходимо:

  • При получении неожиданных писем с вложением, связаться по телефону с отправителем и уточнить, действительно ли он автор сообщения.
  • Не переходить по подозрительным ссылкам.
  • Не запускать исполняемые файлы из вложений.
  • Перенаправлять подозрительные сообщения вышестоящему руководству или службе безопасности.

Однако даже соблюдение всех правил не гарантирует стопроцентной защиты. На данный момент единственный эффективный способ противодействия фишингу – круглосуточный мониторинг поведения пользователей. К несчастью, средства маскировки опасной корреспонденции достигли такого уровня, что даже компетентный человек не всегда способен распознать «подделку».

Гораздо лучше довериться системе безопасности с аналитическим аппаратом. Она сможет предиктивно выявить узкие места в системе безопасности и обнаружить наиболее доверчивых сотрудников, действия которых могут привести к серьезным проблемам.

Прогулки по интернету

На просторах сети встречаются миллионы сайтов, способных нанести мощнейший удар, как по системе безопасности, так и по репутации компании. Вариант «запретить все» перестал работать уже давно. Блокировки не успевают за ежедневно появляющимися опасными ресурсами. А хитрые пользователи быстро придумывают, как их обходить.

Наиболее здравое решение – постоянно отслеживать веб-серфинг, и ввести персональную ответственность сотрудников за некорректные и опасные прогулки по интернету:

  • Рабочее время оплачено владельцем бизнеса. Соответственно, посещения развлекательных сайтов могут контролироваться работодателем без уведомления персонала.
  • Загрузка программного обеспечения или установка расширений без уведомления системного администратора недопустима.
  • Просмотр незаконного контента наносит удар по имиджу компании.

Контроль и мониторинг веб-серфинга отнюдь не прихоть. Необдуманные публикации на форумах и в социальных сетях могут нанести непоправимый имиджевый ущерб. Переписка в мессенджерах – стать источником утечки данных. А загрузки «взрослого» контента – отличный повод для возбуждения уголовных дел. В течение рабочего дня компания полностью отвечает за действия персонала. Как следствие, бизнес не только имеет моральное право требовать от сотрудников соблюдения дисциплины и уголовного кодекса, но и всячески контролировать выполнение этих норм.

Контроль компьютеров

Анализ активности персонала – это не Цербер, неустанно следящий за работниками. В большинстве ситуаций это телохранитель, защищающий ответственный персонал от нерадивых коллег.

Задумайтесь, вы часто выходите из аккаунтов и выключаете компьютер, уходя на перерыв? Этим регулярно пользуются инсайдеры, выкачивая гигабайты информации с помощью чужих ПК. Системы безопасности с анализом клавиатурного почерка, такие, как «Стахановец», смогут быстро обнаружить «подмену» пользователя и установить личность настоящего «крота».

Анализ данных

Каждый работник ежедневно отправляет десятки или даже сотни всевозможных документов и руководитель далеко не всегда знает, какова их дальнейшая судьба. Что если часть важных файлов уже ушла «налево»?

Перехват информации и анализ отклонений – один из ключевых элементов предотвращения утечек информации.

Сотрудники должны понимать и осознавать, что все наработки, сделанные в оплаченное фирмой время – интеллектуальная собственность работодателя. Присвоение контента, его несанкционированная отправка третьим лицам, даже хранение в личном «облаке» или на приватной почте, является серьезным нарушением. Работодатель имеет право зафиксировать подобные правила в трудовом соглашении и вести круглосуточный контроль за их выполнением.

«Человеческий фактор» еще долго будет оставаться главной угрозой для сохранности ценной коммерческой информации. На сегодняшний день минимизировать риски помогает обучение персонала, закрепленная юридически ответственность сторон и программные комплексы, позволяющие контролировать выполнение норм и правил информационной безопасности.

0 ответы

Ответить

Хотите присоединиться к обсуждению?
Поделитесь своими комментариями!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>